基于多目標(biāo)決策的信息安全風(fēng)險(xiǎn)評估方法研究

薛正 馬婷婷 于洋

摘 要：隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息安全問題越來越受到重視。為科學(xué)評估信息系統(tǒng)的安全狀態(tài)水平，目前已經(jīng)提出了一些較為權(quán)威的信息安全評估標(biāo)準(zhǔn)，但仍存在安全特性不全、缺乏針對性、計(jì)算過程不完整等問題。針對這些問題，該文在把保密性、可用性、完整性等特性作為系統(tǒng)設(shè)計(jì)或安全策略的實(shí)現(xiàn)目標(biāo)，提出了一種基于多目標(biāo)決策的信息安全風(fēng)險(xiǎn)評估方法。該方法可以根據(jù)信息系統(tǒng)實(shí)際情況，對不同安全特性進(jìn)行單獨(dú)分析評估，通過分級(jí)考慮不同特性的重要程度可以得到關(guān)于全系統(tǒng)的定量評價(jià)結(jié)論，為系統(tǒng)不同的設(shè)計(jì)方案和安全策略的有效性比較提供了數(shù)據(jù)支撐。

關(guān)鍵詞：信息安全 風(fēng)險(xiǎn) 評估 目標(biāo) 決策

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2019）01（b）-000-03

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，實(shí)現(xiàn)可靠的信息安全變得越來越復(fù)雜。由于信息系統(tǒng)安全脆弱性的存在，網(wǎng)路、操作系統(tǒng)、應(yīng)用軟件、硬件設(shè)備不可避免存在安全漏洞，來自系統(tǒng)外的安全威脅也有了可乘之機(jī)，帶來了很多無意的或者人為的安全問題。對信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行定量評估，能夠有效識(shí)別和度量系統(tǒng)所面臨的安全風(fēng)險(xiǎn)，并進(jìn)一步指導(dǎo)信息系統(tǒng)的安全改進(jìn)工作。

1 風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)

信息系統(tǒng)呈現(xiàn)網(wǎng)絡(luò)化、復(fù)雜化的發(fā)展趨勢，使得風(fēng)險(xiǎn)評估工作逐步走上了標(biāo)準(zhǔn)化的道路。國外已經(jīng)針對某些具體的信息系統(tǒng)產(chǎn)品提出了一系列的評估標(biāo)準(zhǔn)，包括CC/ISO15408《信息技術(shù)安全性認(rèn)證通用標(biāo)準(zhǔn)》、SSE-CMM《系統(tǒng)安全工程能力成熟度模型》、BS-7799/ISO 17799《信息安全管理體系標(biāo)準(zhǔn)》、ISO 13335《信息安全管理標(biāo)準(zhǔn)》等。總體來說[1]，國際上信息安全評估經(jīng)歷了一個(gè)從只重技術(shù)到技術(shù)、管理并重，從單機(jī)到網(wǎng)絡(luò)再到信息系統(tǒng)基礎(chǔ)設(shè)施，從單一安全屬性到多種安全屬性的發(fā)展過程。國內(nèi)在等同采用了部分國際標(biāo)準(zhǔn)，提出了GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》[2]。標(biāo)準(zhǔn)文件規(guī)定了信息系統(tǒng)安全風(fēng)險(xiǎn)評估的基本概念、要素關(guān)系、原理模型、實(shí)施過程和評估方法，但是實(shí)施過程中，還存在以下不足。

（1）安全特性不完整。國標(biāo)只考慮了對非授權(quán)主體的控制，包括保密性、可用性和完整性，而沒有考慮對授權(quán)主體的不正當(dāng)行為的控制，如信息的可控性、不可否認(rèn)性。信息安全的可控性和不可否認(rèn)性，是通過對授權(quán)主體的控制，實(shí)現(xiàn)對保密性、可用性和完整性的有效補(bǔ)充，主要強(qiáng)調(diào)授權(quán)用戶只能在授權(quán)范圍內(nèi)進(jìn)行合法的訪問，并對其進(jìn)行監(jiān)督和審查。

（2）評估缺乏針對性。不同行業(yè)的信息系統(tǒng)，對安全特性的偏重程度顯然是不一樣的。以智能信息系統(tǒng)[3]為例，國標(biāo)沒有充分考慮不同安全指標(biāo)在工程意義上重要性的不同，同等地看待保密性、完整性和可用性，導(dǎo)致評估結(jié)果失實(shí)。

（3）評估計(jì)算不完整。標(biāo)準(zhǔn)在分析計(jì)算了所屬資產(chǎn)的風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級(jí)后，沒有進(jìn)一步組合所有資產(chǎn)的評估結(jié)果形成全系統(tǒng)的風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級(jí)。不同的系統(tǒng)結(jié)構(gòu)，組合的計(jì)算方式可能不一樣，最終的評估結(jié)論將差距很大。此外，在比較同一系統(tǒng)采取不同安全措施的情況下風(fēng)險(xiǎn)水平時(shí)，缺乏有效的數(shù)據(jù)支撐。

2 簡單系統(tǒng)的風(fēng)險(xiǎn)評估

對一個(gè)特定信息系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評估，一方面是為系統(tǒng)管理者提供一個(gè)較為系統(tǒng)直觀的系統(tǒng)安全性評價(jià)，這種評價(jià)可以是定性和也可以是定量；另一方面也是從不同時(shí)期風(fēng)險(xiǎn)評價(jià)結(jié)果的對比中檢驗(yàn)?zāi)承┌踩胧┑挠行浴０驯Ｃ苄浴⒖捎眯浴⑼暾缘忍匦砸罂醋魇切畔⑾到y(tǒng)設(shè)計(jì)或安全策略方面的實(shí)現(xiàn)目標(biāo)，把設(shè)計(jì)方案或安全策略作為達(dá)成目標(biāo)的方案，那么信息安全風(fēng)險(xiǎn)評估可以轉(zhuǎn)化為多目標(biāo)決策問題。

2.1 目標(biāo)重要性權(quán)重分配

多目標(biāo)決策問題首先需要解決的就是確定不同目標(biāo)的重要性。由于在信息安全風(fēng)險(xiǎn)評估中，安全特性目標(biāo)并不具有統(tǒng)一的量綱，且一般采用定性描述，所以在確定不同目標(biāo)的重要性方面，通常采用加權(quán)系數(shù)法[4]。

2.3 評估方法說明

當(dāng)系統(tǒng)相對簡單，采取專家評分或數(shù)據(jù)統(tǒng)計(jì)等方法可以較為容易得到單個(gè)安全特性的量化評分時(shí)，采取如表2所示的方法進(jìn)行全系統(tǒng)的評估是有效的。但當(dāng)系統(tǒng)結(jié)構(gòu)復(fù)雜，單個(gè)安全特性目標(biāo)量化評分的合理性很難得到保證時(shí)，以上方法得到了關(guān)于全系統(tǒng)的評估將缺乏說服力。

定義：信息系統(tǒng)是某安全特性簡單的，即滿足以下條件之一。

（1）系統(tǒng)的某安全特性評估值，已在權(quán)威性標(biāo)準(zhǔn)、規(guī)范、文件中明確，或者已被某類實(shí)驗(yàn)驗(yàn)證，評估人可以通過較為容易的方式獲取。

（2）系統(tǒng)只包括單一或極少數(shù)資產(chǎn)。

顯然，表2所示的系統(tǒng)就是一個(gè)簡單的系統(tǒng)。

3 復(fù)雜系統(tǒng)的風(fēng)險(xiǎn)評估

信息系統(tǒng)一般由硬件、軟件、信息用戶組成，采用公式（3）可以單獨(dú)計(jì)算得到具體某個(gè)資產(chǎn)的安全目標(biāo)實(shí)現(xiàn)值。但當(dāng)系統(tǒng)十分復(fù)雜時(shí)，就必須考慮將多個(gè)簡單系統(tǒng)的評估結(jié)果進(jìn)行組合運(yùn)算的問題，以期得到系統(tǒng)的綜合評估結(jié)果。

3.1 組合計(jì)算方法

按照系統(tǒng)功能和模塊間的相互關(guān)系，把系統(tǒng)細(xì)分為若干簡單的子系統(tǒng)，自下而上地進(jìn)行評估計(jì)算。假定子系統(tǒng)的安全特性目標(biāo)權(quán)重分配與系統(tǒng)保持一致，組合計(jì)算主要包括兩種思路，見表3。

不同安全目標(biāo)的信息系統(tǒng)，Ri*的內(nèi)涵是不一樣的，因此，很難找到一個(gè)固定的方法f進(jìn)行組合運(yùn)算。而保密性等特性的定義是一定的，根據(jù)其安全特性設(shè)計(jì)合理的函數(shù)g，在技術(shù)上是可行的。

即使針對特定的安全特性集，設(shè)計(jì)出有效的f，得到系統(tǒng)的綜合評估結(jié)果r，但與方法A2相比，還存在評估信息不全的問題。對一個(gè)信息系統(tǒng)進(jìn)行評估，當(dāng)然是希望得到盡可能多的系統(tǒng)方面的評價(jià)結(jié)果。顯然，A2方法在得到綜合評估結(jié)果之前，就可以單獨(dú)計(jì)算得到保密性、可用性、完整性的實(shí)現(xiàn)值，比A1方法提供了更多的評估信息。因此，該文采取A2方法進(jìn)行復(fù)雜系統(tǒng)的安全評估。

3.2 系統(tǒng)安全特性評估

3.2.1 系統(tǒng)保密性評估

保密性指只有授權(quán)用戶可以獲取信息。對其進(jìn)行評估，可以采取最小法則。只要有一個(gè)資產(chǎn)不滿足保密等級(jí)要求、發(fā)生失泄密問題，那么就可以認(rèn)為整個(gè)系統(tǒng)的保密性是不滿足的。因此，保密性評估就是找出系統(tǒng)中實(shí)現(xiàn)值最小的子系統(tǒng)。

3.2.2 系統(tǒng)可用性評估

可用性指保證合法用戶對信息和資源的使用不會(huì)被不正當(dāng)拒絕。從工程技術(shù)角度來說，可用性表示戰(zhàn)備完好，即系統(tǒng)在任一隨機(jī)時(shí)刻需要開始執(zhí)行任務(wù)時(shí)，處于工作或可使用狀態(tài)的程度，是系統(tǒng)可靠性和維修性的函數(shù)[5]。在信息安全領(lǐng)域，可用性是指采取身份識(shí)別與確認(rèn)、訪問控制、系統(tǒng)內(nèi)外部隔離以及審計(jì)跟蹤等措施，保證合法用戶按權(quán)限訪問和使用信息資源，拒絕非法者進(jìn)入系統(tǒng)，并防止竊取與破壞信息資源。顯然，如果信息資源暫時(shí)被破壞，但能夠及時(shí)恢復(fù)，不影響正常訪問和使用，那么信息資源依然可以認(rèn)為是可用的。因此，信息系統(tǒng)的可用性，也應(yīng)是可靠性和維修性的函數(shù)。如果評估只是針對系統(tǒng)的某一個(gè)時(shí)間剖面進(jìn)行的話，即只關(guān)心系統(tǒng)“故障”，而不關(guān)心“自我恢復(fù)”，那么，把可用性等同為可靠性是合理的。

3.2.3 系統(tǒng)完整性評估

4 結(jié)語

文章把信息系統(tǒng)的安全特性作為系統(tǒng)設(shè)計(jì)或安全策略的實(shí)現(xiàn)目標(biāo)，進(jìn)而基于多目標(biāo)決策的思想給出了一種新的信息安全風(fēng)險(xiǎn)評估方法。比較了兩種組合計(jì)算方法，在分析安全特性與系統(tǒng)結(jié)構(gòu)的基礎(chǔ)上，提出了一種可以量化得到系統(tǒng)綜合評估結(jié)論的方法，彌補(bǔ)了國標(biāo)中計(jì)算不完整的問題。但在安全特性評估中，對保密性、可用性和完整性的討論還較為簡單，可控性、不可否認(rèn)性還未涉及。進(jìn)一步深入分析這些安全特性與系統(tǒng)結(jié)構(gòu)的關(guān)系，是該文后續(xù)的主要工作。

參考文獻(xiàn)

[1] 劉昱.信息安全評估及其指數(shù)研究[D].北京交通大學(xué)，2014.

[2] 國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局.信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范[S].2007.

[3] 鐘聲，李志豐.淺談智能建筑中智能化系統(tǒng)的信息安全評估[J].信息安全與通信保密，2016（6）：91-94.

[4] 劉曙陽.C3I系統(tǒng)開發(fā)技術(shù)[M].北京：國防工業(yè)出版社，1997.

[5] 曾聲奎.系統(tǒng)可靠性設(shè)計(jì)分析教程[M].北京：北京航空航天大學(xué)出版社，2001.